宝峰科技又被攻击,临时解决办法:禁止攻击者IP
2020年4月9日 21点左右,在维护网站时,发现网站 500错误,过了几分钟再次偿试还是 500错误,后面又请副站长再次确认同样 500错误。因之前出现过这样的情况,后面进入服务商控制台发现内存已经100%,猜想一定是有人攻击了,接着强行停止服务器,再次运行服务器(这过程大概要10-15分钟吧),经过我们耐心而又焦虑的等待后,服务器运行起来了,查看控制台内存正常了,然后打开网站也可以正常浏览了。由于服务商控制台日志通常要到24点左右才可备份到FTP服务器,这样等不了,所以赶紧登陆网站后台查看运行日志,点击“工具”——“运行记录”——“系统错误”里查看日志:
发现真的有人攻击服务器,对我们这样的小型服务器而言,这样的攻击也是承受不了的,毕竟内存不高呀!
为了防止再次被攻击,除了服务器本身的防御外,那只能临时禁止IP和IP段了,进入网站管理后台,点击“用户”——“禁止IP”后,把IP和IP段输入到“新增”的框内并设置禁止日间,为了安全设置为几年就可以,再点“提交”,IP和IP段就添加好了:
下面我们来看看攻击者攻击内容,这里选择几条看下就好,毕竟我们没有深入的去了解,另外也没太多时间去看攻击代码:
User: uid=0; IP=1.85.2.X; RIP:X.X.X.X Request: /forum.php?action=reply&tid=1430&fid=34&mod=post$%7B%23context['xwork.MethodAccessor.denyMethodExecution']=false,%23f=%23_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),%23f.setAccessible(true),%23f.set(%23_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())%7D.action
User: uid=0; IP=1.85.2.X; RIP:X.X.X.X Request: /forum.php?action=showdarkroom&mod=misc$%7b%23context['xwork.MethodAccessor.denyMethodExecution']=false,%23f=%23_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),%23f.setAccessible(true),%23f.set(%23_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('set').getInputStream())%7d.action
大体看了上一句代码,主要是对主题ID为1430的做什么事,我们看了这主题是友情链接申请的专帖,也不知道攻击者的用意是什么……
这次攻击应该算初级攻击吧,因为它没有针对数据这块下手,我们这定为初级。
页:
[1]